第十五章计算机病毒
第十五章 计算机病毒
计算机病毒 病毒概述 计算机病概达 计算机病毒的表现 )病毒的起源与发展 病产生的改景 病毒发展 病毒分类 病毒分析 疠毒待征 病毒程序结构及机制
计算机病毒 • 病毒概述 – 计算机病毒概述 – 计算机病毒的表现 • 病毒的起源与发展 – 病毒产生的背景 – 病毒发展 • 病毒分类 • 病毒分析 – 病毒特征 – 病毒程序结构及机制
计算机病毒 网绪蠕虫病毒技术 一场伤毒与一般病毒的异同 券的破坏和发展趋势 网爷虫病毒分析 业防范蠕虫病毒措 对个人用户产生直接威的的矫虫病毒 个人用户对虫病毒的历范措施
计算机病毒 • 网络蠕虫病毒技术 – 蠕虫病毒与一般病毒的异同 – 蠕虫的破坏和发展趋势 – 网络蠕虫病毒分析 – 企业防范蠕虫病毒措施 – 对个人用户产生直接威胁的蠕虫病毒 – 个人用户对蠕虫病毒的防范措施 – 小结
计算机病毒 D CIH 毒的表现形式、危害及传来途径 毒的运行机制 疠毒的清除 exe型病毒 MyVirus Word宏病毒 的概念 宏病毒分析 C0L宏病毒代码及流程 宏病毒的判所方法 宏病毒的历治和清除
计算机病毒 • CIH – 病毒的表现形式、危害及传染途径 – 病毒的运行机制 – 病毒的清除 • exe型病毒MyVirus • Word宏病毒 – 宏的概念 – 宏病毒分析 – CtoL宏病毒代码及流程 – 宏病毒的判断方法 – 宏病毒的防治和清除
计算机病毒 脚本病毒 邮件型病毒 )病毒的检测和防治 疠毒检测 病毒仿治 计算机系统的修复
计算机病毒 • 脚本病毒 • 邮件型病毒 • 病毒的检测和防治 – 病毒检测 – 病毒防治 – 计算机系统的修复
计算机病毒极达 与医学上的“病毒”不同,计算机病毒不是天然存在的, 用计算机软、硬件所固有的脆弱性,编制具有 特殊功能的程序。 能通过某种途径潜伏在计算机存储介质(或程序)里,当 时即被激活,通过修改其他程序的方法将 的精确拷贝或者可能演化的形式放入其他程序中,从而 对计算机资源进行破坏的这样一组程序或指 1994年2月18日,我国正式颁布实施了《中华人民共和国 计算材 系统安全保护条例》,在《条例》第二十八条 明确指岀:“计算机病毒,是指编制或者在计算机程序 井撬合燮拿组聾粉者婴或蓄 算机使用, 或者程序代码
计算机病毒概述 • 与医学上的“病毒”不同,计算机病毒不是天然存在的, 是某些人利用计算机软、硬件所固有的脆弱性,编制具有 特殊功能的程序。 • 能通过某种途径潜伏在计算机存储介质(或程序)里,当 达到某种条件时即被激活,通过修改其他程序的方法将自 己的精确拷贝或者可能演化的形式放入其他程序中,从而 感染它们,对计算机资源进行破坏的这样一组程序或指令 集合。 • 1994年2月18日,我国正式颁布实施了《中华人民共和国 计算机信息系统安全保护条例》,在《条例》第二十八条 中明确指出:“计算机病毒,是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据,影响计算机使用, 并能自我复制的一组计算机指令或者程序代码
算机的表现 根据计算机病毒感染和发作的阶段,可以将计算 机病毒的表现现象分为三大类:发作前、发作时 和发作后的表现现象。 计算机病毒发作前的表现现象 计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏 在系统内开始,一直到激发条件满足,计算机病毒发作之前的 个阶段 ●在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计 算机病毒会以各式各样的手法来隐藏自己,在不被发现的同时, 又自我复制,以各种手段进行传播
计算机病毒的表现 • 根据计算机病毒感染和发作的阶段,可以将计算 机病毒的表现现象分为三大类:发作前、发作时 和发作后的表现现象。 – 计算机病毒发作前的表现现象 • 计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏 在系统内开始,一直到激发条件满足,计算机病毒发作之前的 一个阶段。 • 在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计 算机病毒会以各式各样的手法来隐藏自己,在不被发现的同时, 又自我复制,以各种手段进行传播
讲算机病毒发作前的表现现象 现 平时运行正常的计算机突然经常性无缘无故地死机;病毒感染了 统内并修改了中断处理程序等, 系统工作不稳定,造成死机现象发 系统无法正常启动;关机后再肩动,操作系统报告缺少必要 的启动文 被破坏 算机病毒感染系统文件后使得文件结构发生变化,无法被操作系 统加载、引 行速度明显变慢;可能是计算机病毒占用了大量的系统资源, 自身的运行占用了大量的处理器时间,造成系统资源不足, 运行变慢。 以前能正常运行的软件经常发生内存不足的错误。可能是计算机 病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减 扛印和通讯发生异常可能是计箬机病毒嬖留肉存厦卓用了打印 之不
计算机病毒发作前的表现现象 • 现象: – 平时运行正常的计算机突然经常性无缘无故地死机;病毒感染了 计算机系统后,将自身驻留在系统内并修改了中断处理程序等, 引起系统工作不稳定,造成死机现象发生。 – 操作系统无法正常启动;关机后再启动,操作系统报告缺少必要 的启动文件,或启动文件被破坏,系统无法启动。这很可能是计 算机病毒感染系统文件后使得文件结构发生变化,无法被操作系 统加载、引导。 – 运行速度明显变慢;可能是计算机病毒占用了大量的系统资源, 并且自身的运行占用了大量的处理器时间,造成系统资源不足, 运行变慢。 – 以前能正常运行的软件经常发生内存不足的错误。可能是计算机 病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减 小。 – 打印和通讯发生异常。可能是计算机病毒驻留内存后占用了打印 端口、串行通讯端口的中断服务程序,使之不能正常工作
讲算机病毒发作前的表现现象 无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作 操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保 护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒 自动查找软盘是否在软驱中的时候引起的系统异常 以前能正常运行的应用程序经常发生死机或者非法错误。可能 由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能, 或者计算机病毒程序本身存在着兼容性方面的问题造成的。 系统文件的时间、日期、大小发生变化。这是最明显的计算机病 毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在 原始文件的后面,文件大小大多会有所增加,文件的访问和修改 日期和时间也会被改成感染时的时间。 运行Word,打开word文档后,该文件另存时只能以模板方式保 存。无法另存为一个DOC文档,只能保存成模板文档(DOT)。 这往往是打开的Word文档中感染了Word宏病毒的缘故
计算机病毒发作前的表现现象 – 无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作, 操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保 护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒 自动查找软盘是否在软驱中的时候引起的系统异常。 – 以前能正常运行的应用程序经常发生死机或者非法错误。可能是 由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能, 或者计算机病毒程序本身存在着兼容性方面的问题造成的。 – 系统文件的时间、日期、大小发生变化。这是最明显的计算机病 毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在 原始文件的后面,文件大小大多会有所增加,文件的访问和修改 日期和时间也会被改成感染时的时间。 – 运行Word,打开Word文档后,该文件另存时只能以模板方式保 存。无法另存为一个DOC文档,只能保存成模板文档(DOT)。 这往往是打开的Word文档中感染了Word宏病毒的缘故
讲算机病毒发作前的表现现象 磁盘间迅速减少 新的应用程序,而系统可用的磁盘 空间减少地很快。这可 算机病毒感染造成的。 网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器 者对有写权限的网络驱动器 基本内存发生变化。在DOS下用mem/c命令查看系统中内存 使用状况的时候可以发现基本 节数比正常的640Kb要小, 般少1Kb~2Kb。这通常是计算机系统感染了引导型计算机病 毒所造成的 生人发的电子函侁。收到生人发来的电子函件,龙基是那 如一则 件的电子函件。 自动链接到一些陌生的网站。没有在 计算机会自动拨号并 连接到 j生的网络链接。这种联接 程序将收集到 的计算机系统的信息“悄悄地”发回某个特定的
计算机病毒发作前的表现现象 – 磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘 空间减少地很快。这可能是计算机病毒感染造成的。 – 网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器 卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器 卷、共享目录等无法创建、修改文件。 – 基本内存发生变化。在DOS下用mem /c/p命令查看系统中内存 使用状况的时候可以发现基本内存总字节数比正常的640Kb要小, 一般少1Kb~2Kb。这通常是计算机系统感染了引导型计算机病 毒所造成的。 – 陌生人发来的电子函件。收到陌生人发来的电子函件,尤其是那 些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附 件的电子函件。 – 自动链接到一些陌生的网站。没有在上网,计算机会自动拨号并 连接到因特网上一个陌生的站点,或者在上网的时候发现网络特 别慢,存在陌生的网络链接。这种联接大多是黑客程序将收集到 的计算机系统的信息“悄悄地”发回某个特定的网址